Imagina este escenario: lunes por la mañana, aún no has tomado tu café. Te acercas bostezando a tu escritorio, para comenzar tu jornada de teletrabajo. Abres tu correo electrónico y descubres, en tu bandeja de entrada, un correo electrónico que anuncia, alegremente, que has ganado un premio. Piensas que es una manera genial de comenzar la semana, y abres el correo inocentemente. Pinchas en el link, completas unos datos.. Y lo próximo que sabes es que has sido víctima de delincuentes que se han aprovechado de tu distracción. Lo cierto es que el error humano es, actualmente, una de las razones por las que las empreas experimentan las mayores pérdidas. ¿Cómo puedes evitar ésto? Sigue leyendo con nosotros para averiguarlo.
Phishing: indicios que debes aprender a identificar.
Como comentábamos al principio, caer en la trampa de phishing de un ciberdelincuente es más sencillo de lo que parece. Basta apenas un descuido para dejar nuestros datos al alcance de sus manos. Sin embargo, esto no es tan difícil de prevenir. Pongamos por ejemplo un caso de un correo electrónico que hemos recibido, y los detalles que debemos notar para aprender a ignorarlos.
En el ejemplo que veremos, el estafador ha utilizado la suplantación del nombre para que el mensaje parezca ser de DHL. La mayoría de las grandes empresas, como DHL, tienen políticas con respecto a las comunicaciones por correo electrónico. Por ejemplo, la política de concientización sobre fraudes de DHL, que puedes leer en su sitio web, establece:
«Tenga en cuenta que si recibió un correo electrónico que sugiere que DHL está intentando entregar un paquete solicitando que abra el archivo adjunto del correo electrónico para afectuar la entrega, este correo electrónico es fraudulento, el paquete no existe y el archivo adjunto puede ser un virus informático.
Por favor, no abra el archivo adjunto. Este correo electrónico y archivo adjunto no se originan en DHL «.
Sin embargo, para quienes no conocen las políticas de DHL, es importante saber qué buscar para evitar ser la próxima víctima de estafas de suplantación de identidad.
El siguiente es un correo que fue detectado por MDaemon, que aplicó su protección contra virus y ataques de Phishing. Veámoslo a continuación.
Ejemplo de un correo de Phishing.
Cómo identificar un correo de Phishing.
Desafortunadamente, no importa lo que hagan las empresas, algunos correos electrónicos de phishing siempre llegan a la bandeja de entrada. Y esos mensajes son extremadamente efectivos: el 97% de las personas en todo el mundo no pueden identificar un correo electrónico de phishing sofisticado. Vamos a ver cómo podemos solucionarlo.
1. No confíes en el nombre para mostrar.
Una táctica de phishing muy usada entre los cibercriminales es falsificar el nombre para mostrar de un correo electrónico. Estudios demuestran que casi la mitad de todas las amenazas de correo electrónico falsificaron a la marca en el nombre para mostrar.
Así es como funciona: si un estafador deseaba falsificar la marca hipotética «My Bank», el correo electrónico puede tener el siguiente aspecto:
Ejemplo de phishing
Dado que My Bank no posee el dominio «secure.com», DMARC (Informes de autenticación de mensajes basados en dominios) no bloqueará este correo electrónico en nombre de My Bank, incluso si My Bank ha establecido su política de DMARC para que mybank.com rechace los mensajes que no puedan autenticarse. Este correo electrónico fraudulento, una vez enviado, parece legítimo porque la mayoría de las bandejas de entrada de los usuarios solo presentan el nombre para mostrar. No confíes en el nombre para mostrar. Verifica la dirección de correo electrónico en el encabezado de: (From:) y, si parece sospechoso, no abras el correo electrónico.
2. Mira, pero no hagas clic.
Mueve el mouse sobre cualquier enlace en el cuerpo del correo electrónico. Si la dirección del enlace parece rara, no hagas clic en ella. Si deseas probar el enlace, abre una nueva ventana y escribe la dirección del sitio web directamente en lugar de hacer clic en el enlace de los correos electrónicos no solicitados.
3. Comprueba si hay errores de ortografía.
Las marcas son bastante cuidadosas con el correo electrónico. Los mensajes legítimos (por lo general) no tienen errores de ortografía importantes o gramática deficiente. Lee tus correos electrónicos cuidadosamente e informa cualquier cosa que parezca sospechosa.
4. Analiza el saludo.
¿Se dirige el correo electrónico a un “Cliente valioso?” Eso es simplemente vago.
Si es así, ten cuidado: las empresas legítimas a menudo usan un saludo personal con tu nombre y apellido.
5. No envíes información personal.
Los bancos legítimos y la mayoría de las otras compañías nunca solicitarán credenciales personales por correo electrónico. No las envíes.
6. Cuidado con el lenguaje urgente o amenazante en la línea de asunto.
Invocar un sentido de urgencia o miedo es una táctica de phishing común. Ten cuidado con las líneas de asunto que reclaman que «tu cuenta ha sido suspendida» o tu cuenta tuvo un «intento de inicio de sesión no autorizado».
7. Revisa la firma.
La falta de detalles sobre la persona que firma o cómo puedes ponerte en contacto con una empresa sugiere un correo de phishing. Las empresas legítimas siempre proporcionan datos de contacto.
8. No hagas clic en los archivos adjuntos.
Incluir adjuntos maliciosos que contienen virus y malware es una táctica de phishing común. El malware puede dañar los archivos en tu computadora, robar tus contraseñas o espiarte sin tu conocimiento. No abras ningún archivo adjunto de correo electrónico que no estuvieras esperando.
9. No confíes en el encabezado de la dirección de correo electrónico.
Los estafadores no solo falsifican marcas en el nombre para mostrar, sino también marcas falsas en el encabezado de la dirección de correo electrónico. Casi el 30% de más de 760,000 amenazas de correo electrónico falsificaron marcas en algún lugar del encabezado de la dirección de correo electrónico, y más de dos tercios falsificaron la marca solo en el dominio del correo electrónico.
10. No creas todo lo que ves.
Los delincuentes son extremadamente buenos en lo que hacen. El hecho de que un correo electrónico tenga logotipos de marca, lenguaje y una dirección de correo electrónico aparentemente válida, no significa que sea legítimo. Sé escéptico cuando se trata de tus mensajes de correo electrónico: si parece incluso sospechoso, no lo abras.
Correo de Phishing: palabras de cierre.
El coste de un ataque del que no pudimos protegernos puede alcanzar miles de euros, lo que debemos evitar a todas costa. Y aunque aquí te hemos dado una buena guía para reconocer correos electrónicos de phishing, puede que no sea suficiente: una capacitación continua y un sistema de protección integral probablemente sean tu mejor opción. Por eso, hoy queremos recomendarte una solución para protegerte: estamos hablando de USecure. Pruébala sin gastar ni un centavo… ¡Y luego nos cuentas!
Agenda tu demo gratuita de usecure
Por qué usecure:
- Mitiga las brechas de ciberseguridad en tu empresa
- Monitoreo de la Dark Web
- 4 productos en uno
